3.换壳

    如果“xiaoyao”帐户的IE设置被更改或破坏，那么可在“运行”对话框中执行“net user xiaoyao /delete”命令，来删除“xiaoyao”帐号。之后，再次执行创建帐户命令，新建一个名为“xiaoyao”的帐户，即可使IE“完好如初”。

    步骤三：加固系统

    通过网页浏览感染系统，只是木马病毒和流氓插件的一种途径。如果不小心以当前帐户身份运行了木马病毒程序，系统还是会被破坏。只是这类破坏“迹象”都较明显，不像恶意网页在后台进行“暗箱操作”，因此可提前阻止它们。

    1.禁止程序启动

    很多木马病毒都是通过注册表加载启动的，因此可通过权限设置，禁止病毒和木马对注册表的启动项进行修改。

    启动注册表编辑器，依次展开“HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run”分支，在“Run”分支上点击右键，选择“权限”命令，将当前帐户对该分支的“读取”权限设置为“允许”，并取消对“完全控制”权限的选择。使用同样方法设置以下注册表启动键的权限：

    HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunOnce

    HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunEx

    HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Policies\ Explorer\Run

    HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunServices

    在“HKEY_CURRENT_USER”下，也有相同的多个注册表启动项需要设置权限。

    2.禁止服务启动

    一些高级的木马病毒会通过系统服务进行加载，对此可禁止木马病毒启动服务的权限。

    可依次展开“HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\ Services”分支，将当前帐户的“读取”权限设置为“允许”，同时取消其“完全控制”权限。

    3.系统安全设置

    最厉害的木马病毒会采用DLL注入方式，或者抢先系统启动运行，对此可在注册表中限制其启动权限。

    设置的方法同上，需设置权限的注册表项有以下分支：

    HKEY_LOCAL_MACHINE\Software\Microsoft \Windows NT\CurrentVersion\Winlogon\UserInit

    HKEY_LOCAL_MACHINE\Software\Microsoft \Windows NT\CurrentVersion\Winlogon\Shell

    HKEY_LOCAL_MACHINE\Software\Microsoft \Windows NT\CurrentVersion\Winlogon\GinaDll

    HKEY_LOCAL_MACHINE\Software\Microsoft \Windows NT\CurrentVersion\Winlogon\System

    HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Policies\

    4.保护文件关联

    有些狡猾的木马，还会通过更改系统文件关联，达到启动运行目的。对此可展开“HKEY_CLASSES_ ROOT”分支，将其下的“.exe”、.“com”、“.cmd”、“.BAT”、“.VBS”等项目设置权限，操作方法同上。

    使用设置了注册表权限的帐户登录系统后，是无法安装软件或进行重要系统更改设置的。如要安装软件，可更换为管理员帐户登录系统，并进行正常的安装操作。

　　2009-10-30　　来源：瑞星